Aktionen

Windows herausfinden welches Programm mit einer bestimmten IP-Adresse kommuniziert: Unterschied zwischen den Versionen

Aus znilwiki

(Die Seite wurde neu angelegt: „==Problem== Da meldet die Firewall "bösen" Datenverkehr von einem meiner Rechner. In diesem Fall war es die Firewall vor meiner Firewall. Dahinter waren nur 2…“)
 
(kein Unterschied)

Aktuelle Version vom 24. November 2019, 18:16 Uhr

1 Problem

Da meldet die Firewall "bösen" Datenverkehr von einem meiner Rechner. In diesem Fall war es die Firewall vor meiner Firewall. Dahinter waren nur 2 Windows-Server.
Und angeblich fand verdächtiger Datenverkehr zu einem bekannten Command&Control Server statt.

Nun, ich wusste zwar mit wem Kommuniziert wurde, aber nicht wer es war/ist.<vr>
Unter anderem wollte ich wissen ob einer der beiden Windows-Server Kontakt zu der externen IP-Adresse aufnimmt - und wenn ja welcher Prozess.


2 Lösung

In einer Administratoren-Eingabeaufforderung folgendes eingeben:

netstat -ano 1 | find "IP-Adresse"

Erklärung:

-ano 1
 a  =>  Zeigt alle Verbindungen und lauschenden Ports an.
 n  =>  Zeigt Adressen und Portnummern numerisch an.
 o  =>  Zeigt die mit jeder Verbindung verknüpfte, übergeordnete Prozesskennung an.
 1  =>  Zeigt die gewählte Statistik nach der mit Intervall angegebenen Anzahl von Sekunden erneut an.


Den lässt man so lange laufen bis er mal was findet.
In der Ausgabe findet man dann am Ende die Prozessnummer:

 TCP    10.100.12.81:63243     192.168.1.81:389       HERGESTELLT     4112

Hier also 4112
Mit dem Befehl

tasklist

bekommt Ihr dann den genauen Prozess, in diesem Beispiel z.B. Exchange:

Microsoft.Exchange.Direct     4112 Services                   0        71.920 K




3 Kommentare


Kommentar hinzufügen
znilwiki freut sich über alle Kommentare. Sofern du nicht anonym bleiben möchtest, trage deinen Namen oder deine Email-Adresse ein oder melde dich an. Du kannst das Feld auch einfach leer lassen. Bei einem Kommentar wird deine IP-Adresse zusammen mit dem Text, den angegebenen Namen bzw. der Email-Adresse in der Datenbank für die Kommentare dauerhaft gespeichert. Genaueres kannst du hier nachlesen: Datenschutzerklärung